W tym artykule omówimy, jak utworzyć bezpieczne hasło, jakie zasady należy przestrzegać podczas ich tworzenia, jak przechowywać hasła i minimalizować prawdopodobieństwo, że hakerzy będą uzyskiwać dostęp do informacji i kont.
Ten materiał jest kontynuacją artykułu "Jak można włamać się do twojego hasła" i oznacza, że znasz materiał prezentowany na tym komputerze lub znasz już wszystkie główne sposoby, w jakie można złamać hasła.
Twórz hasła
Dzisiaj, rejestrując dowolne konto internetowe, tworząc hasło, zwykle widzisz wskaźnik siły hasła. Niemal wszędzie działa na podstawie oceny dwóch czynników: długości hasła; obecność znaków specjalnych, wielkich liter i cyfr w haśle.
Pomimo tego, że są to naprawdę ważne parametry odporności na złamanie hasła przez brutalną siłę, hasło, które wydaje się być silne, nie zawsze tak jest. Na przykład hasło takie jak "Pa $$ w0rd" (i tutaj są specjalne znaki i cyfry) prawdopodobnie zostanie szybko złamane - ze względu na fakt, że (jak opisano w poprzednim artykule), ludzie rzadko tworzą unikalne hasła (mniej niż 50%Hasła są unikatowe) i ta opcja jest najprawdopodobniej już w wyciekanych bazach danych, które mają intruzi.
Jak być? Najlepszym rozwiązaniem jest użycie generatorów haseł (dostępnych w Internecie w postaci narzędzi online, a także w większości menedżerów haseł komputerowych), tworząc długie losowe hasła za pomocą znaków specjalnych. W większości przypadków hasło o 10 lub większej liczbie takich znaków po prostu nie będzie interesujące dla hakera (tzn. Jego oprogramowanie nie będzie skonfigurowane do wybierania takich opcji) ze względu na to, że koszty czasu się nie opłacają. Ostatnio w przeglądarce Google Chrome pojawił się wbudowany generator haseł.
W tej metodzie główną wadą jest to, że takie hasła są trudne do zapamiętania. Jeśli istnieje potrzeba zachowania hasła, istnieje inna opcja, polegająca na tym, że hasło składające się z 10 znaków, zawierające wielkie litery i znaki specjalne, jest łamane za pomocą metody brute force tysięcy lub więcej (określone liczby zależą od dozwolonego zestawu znaków) niż hasło składające się z 20 znaków, zawierające tylko małe litery alfabetu łacińskiego (nawet jeśli atakujący o tym wie).
W ten sposób hasło składające się z 3-5 prostych, losowych angielskich słów będzie łatwe do zapamiętania i prawie niemożliwe do złamania. Po napisaniu każdego słowa wielką literą podnosimy liczbę opcji do drugiego stopnia. Jeśli są to 3-5 rosyjskich słów (ponownie losowych, ale nie nazw i dat) zapisanych w układzie angielskim, hipotetyczna możliwość wyrafinowanych metod używania słowników do wybierania hasła jest również usuwana.
Z pewnością nie ma właściwego podejścia do tworzenia haseł: istnieją zalety i wady na różne sposoby (związane z umiejętnością zapamiętywania, niezawodnością i innymi parametrami), ale podstawowe zasady są następujące:
- Hasło musi składać się ze znaczącej liczby znaków. Najczęstszym obecnie ograniczeniem jest 8 znaków. I to nie wystarczy, jeśli potrzebujesz bezpiecznego hasła.
- Jeśli to możliwe, umieść znaki specjalne, wielkie i małe litery, cyfry w haśle.
- Nigdy nie umieszczaj danych osobistych w haśle, nawet jeśli było napisane na pozór sprytnie. Brak dat, imion i nazwisk. Na przykład złamanie hasła reprezentującego dowolną datę współczesnego kalendarza juliańskiego od 0 roku do dnia dzisiejszego (np. 07/18/2015 lub 18072015 itd.) Potrwa od sekund do godzin (izegary są spowodowane jedynie opóźnieniami między próbami w niektórych przypadkach).
Możesz sprawdzić, jak silne jest twoje hasło w witrynie (chociaż wpisywanie haseł na niektórych stronach, zwłaszcza bez https, nie jest najbezpieczniejszą praktyką) http://rumkin.com/tools/password/passchk.php. Jeśli nie chcesz sprawdzać prawdziwego hasła, wprowadź podobne (z tej samej liczby znaków i tego samego zestawu znaków), aby uzyskać pojęcie o jego niezawodności.
W trakcie wprowadzania znaków usługa oblicza entropię (warunkowo liczba opcji, dla entropii wynosi 10 bitów, liczba opcji wynosi 2 do dziesiątej mocy) dla danego hasła i dostarcza informacji na temat niezawodności różnych wartości. Hasła z entropią ponad 60 są prawie niemożliwe do złamania nawet podczas selekcji docelowej.
Nie używaj tych samych haseł dla różnych kont.
Jeśli masz wielkie skomplikowane hasło, ale używasz go w miarę możliwości, automatycznie staje się całkowicie niewiarygodne. Gdy tylko hakerzy włamią się na którąkolwiek ze stron, gdzie używasz takiego hasła i uzyskasz do niego dostęp, możesz być pewien, że zostanie on natychmiast przetestowany (automatycznie, przy użyciu specjalnego oprogramowania) na wszystkich innych popularnych pocztach, grach, serwisach społecznościowych, a może w banki internetowe (sposoby sprawdzenia, czy hasło zostało już ujawnione, są wymienione na końcu poprzedniego artykułu).
Unikalne hasło do każdego konta jest trudne, jest niewygodne, ale jest konieczne, jeśli te konta są dla ciebie ważne. Chociaż w przypadku niektórych rejestracji, które nie mają dla ciebie wartości (tzn. Możesz je stracić i nie martwią się) i nie zawierają danych osobowych, możesz nie obciążać się unikalnymi hasłami.
Uwierzytelnianie dwuskładnikowe
Nawet silne hasła nie gwarantują, że nikt nie może zalogować się na twoje konto. Możesz ukraść hasło w ten czy inny sposób (np. Wyłudzanie informacji, jako najczęstszą opcję) lub odebrać je od siebie.
Prawie wszystkie poważne firmy internetowe, w tym Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam i inne, dodały ostatnio możliwość włączania uwierzytelniania dwuskładnikowego (lub dwuetapowego) na swoich kontach. I jeśli bezpieczeństwo jest dla ciebie ważne, bardzo polecam jego włączenie.
Implementacja uwierzytelniania dwuskładnikowego jest nieco inna w przypadku różnych usług, ale podstawowa zasada jest następująca:
- Podczas logowania z nieznanego urządzenia, po wprowadzeniu poprawnego hasła, użytkownik zostanie poproszony o przeprowadzenie dodatkowych testów.
- Sprawdzanie odbywa się za pomocą kodu SMS, specjalnej aplikacji na smartfonie, za pomocą wcześniej przygotowanych wydrukowanych kodów, wiadomości e-mail, klucza sprzętowego (ostatnia opcja pojawiła się w Google, ta firma jest ogólnie najlepsza pod względem uwierzytelniania dwuskładnikowego).
Tak więc, nawet jeśli atakujący nauczy się twojego hasła, nie będzie mógł zalogować się na twoje konto bez dostępu do twoich urządzeń, telefonu lub e-maila.
Jeśli nie rozumiesz w pełni, w jaki sposób działa uwierzytelnianie dwuskładnikowe, polecam czytanie artykułów w Internecie poświęconych temu tematowi lub opisów i wskazówek dotyczących działań w witrynach, w których jest on implementowany (nie będę mógł podać szczegółowych instrukcji w tym artykule).
Miejsce na hasło
Trudne unikalne hasła do każdej witryny - świetne, ale jak je przechowywać? Jest mało prawdopodobne, aby wszystkie te hasła były pamiętane. Przechowywanie przechowywanych haseł w przeglądarce jest ryzykownym przedsięwzięciem: nie tylko staje się bardziej podatne na nieautoryzowany dostęp, ale może również zostać utracone w przypadku awarii systemu i po wyłączeniu synchronizacji.
Najlepszym rozwiązaniem są menedżery haseł.Ogólnie rzecz biorąc, są to programy przechowujące wszystkie twoje tajne dane w zaszyfrowanej bezpiecznej pamięci (zarówno w trybie offline, jak i online), do której dostęp uzyskuje się za pomocą jednego hasła głównego (można również włączyć uwierzytelnianie dwuskładnikowe). Ponadto większość tych programów jest wyposażona w narzędzia do generowania i oceny niezawodności haseł.
Kilka lat temu napisałem osobny artykuł na temat Best Password Managers (warto go przepisać, ale można się zorientować, co to jest i jakie programy są popularne z tego artykułu). Niektórzy preferują proste rozwiązania offline, takie jak KeePass lub 1Password, które przechowują wszystkie hasła w urządzeniu, inne - bardziej funkcjonalne narzędzia, które również reprezentują możliwości synchronizacji (LastPass, Dashlane).
Znani menedżerowie haseł są ogólnie uważani za bardzo bezpieczny i niezawodny sposób ich przechowywania. Warto jednak rozważyć kilka szczegółów:
- Aby uzyskać dostęp do wszystkich haseł, musisz znać tylko jedno hasło główne.
- W przypadku włamania do magazynu online (dosłownie miesiąc temu, najpopularniejszy na świecie serwis haseł LastPass został zhackowany), będziesz musiał zmienić wszystkie swoje hasła.
Jak jeszcze możesz zapisać swoje ważne hasła? Oto kilka opcji:
- Na papierze w sejfie, do którego dostęp mają członkowie Twojej rodziny (nieodpowiednie dla haseł, których często potrzebujesz).
- Baza danych haseł offline (na przykład KeePass) przechowywana na trwałym urządzeniu pamięci masowej i duplikowana w dowolnym miejscu w przypadku utraty.
Moim zdaniem najlepszą kombinacją wszystkich powyższych jest następujące podejście: najważniejsze hasła (główna wiadomość e-mail, z której można odzyskać inne konta, bank itd.) Są przechowywane w nagłówku i (lub) na papierze w bezpiecznym miejscu. Mniej ważne, a jednocześnie często używane, powinny być przypisane do programów zarządzających hasłami.
Dodatkowe informacje
Mam nadzieję, że połączenie dwóch artykułów na temat haseł pomogło niektórym z was zwrócić uwagę na niektóre aspekty bezpieczeństwa, o których nie myśleliście. Oczywiście nie brałem pod uwagę wszystkich możliwych opcji, ale prosta logika i pewne zrozumienie zasad pomoże mi zdecydować, jak bezpieczne jest to, co robisz w danym momencie. Jeszcze raz, niektóre wymienione i kilka dodatkowych punktów:
- Używaj różnych haseł dla różnych witryn.
- Hasła powinny być trudne, przede wszystkim możesz zwiększyć złożoność, zwiększając długość hasła.
- Nie używaj danych osobowych (które możesz znaleźć) podczas tworzenia samego hasła, jego wskazówek, pytań testowych do odzyskania.
- W miarę możliwości używaj uwierzytelniania dwuetapowego.
- Znajdź najlepszy sposób na zabezpieczenie swoich haseł.
- Uważaj na phishing (sprawdź adresy witryn, obecność szyfrowania) i programy szpiegujące. Gdziekolwiek jesteś proszony o wpisanie hasła, sprawdź, czy naprawdę wchodzisz do niego na właściwej stronie. Upewnij się, że na komputerze nie ma złośliwego oprogramowania.
- Jeśli to możliwe, nie używaj haseł na innych komputerach (jeśli to konieczne, zrób to w trybie incognito przeglądarki lub jeszcze lepiej, używaj klawiatury ekranowej) w publicznych otwartych sieciach Wi-Fi, zwłaszcza jeśli nie masz szyfrowania https podczas łączenia się z witryną .
- Być może nie powinno się przechowywać najważniejszych, naprawdę wartościowych haseł na komputerze lub w Internecie.
Coś w tym stylu. Myślę, że udało mi się podnieść stopień paranoi. Rozumiem, że wiele opisanych rzeczy wydaje się niewygodnych, mogą pojawić się myśli typu "dobrze, to mnie obejdzie", ale jedyny pretekst do lenistwa, gdy przestrzega się prostych zasadBezpieczeństwo w przechowywaniu poufnych informacji może być jedynie brakiem jego ważności i gotowością do tego, aby stał się on własnością osób trzecich.